3 
ПРАКТИЧЕСКИЕ УЧЕБНЫЕ МАТЕРИАЛЫ 
 
1-Практическая работа 
Тема: Модель риска информационной безопасности. 
Цель работы: изучить международные стандарты, используемые при 
идентификации и анализе рисков в организации, иметь информацию о них и 
иметь краткое представление об оценке и анализе рисков в организации. 
Теоретическая часть: стандарт ISO 27002 состоит из модели и 
требований к разработке, внедрению, эксплуатации, мониторингу, анализу, 
обслуживанию и совершенствованию системы управления информационной 
безопасностью (СУИБ). Внедрение управления рисков ИБ должно оставаться 
стратегическим решением организации. Потребности в безопасности, цели, 
используемые процессы, размер и структура организации должны 
учитываться при разработке и внедрении УРИБ. Предполагается, что УРИБ и 
поддерживающие его системы со временем изменятся. Также масштаб 
расширения УРИБ будет зависеть от потребностей организации, например, 
простая ситуация требует простого решения для УРИБ. 
Этот стандарт может использоваться внутренними и внешними 
сторонами для оценки соответствия. 
Процессный подход 
Стандарт ISO 27002 фокусируется на использовании процессного 
подхода при разработке, внедрении, эксплуатации, мониторинге, анализе, 
обслуживании и улучшении СМИБ организации. 
Чтобы организация функционировала успешно, она должна определить 
и управлять большим количеством взаимосвязанных видов деятельности. Все 
виды деятельности, которые используют активы и управляются для 
преобразования входов в выходы, можно рассматривать как процессы. Часто 
результат одного процесса создает непосредственный ввод следующего 
процесса. 
Выделение системы процессов в организации и их взаимодействия, а 
также использование системы процессов, а также управление процессами 
можно считать «процессным подходом». 
Этот подход подчеркивает важность: 
а) понимание требований организации к информационной безопасности 
и необходимость определения политик и целей информационной 
безопасности; 
б) внедрение и применение мер управления рисками информационной 
безопасности организации в общем контексте всех бизнес-рисков; 
в) непрерывный мониторинг и анализ производительности и 
эффективности УРИБ; 
г) Постоянное совершенствование на основе результатов объективных 
измерений. 
Этот стандарт предоставляет модель «Планируй-Делай-Проверяй-
Действуй» [«Plan-Do-Check-Act» (PDCA)], которую можно использовать при 

4 
разработке каждого процесса УРИБ. 
Модель, представленная на рисунке 1, показывает, как ИСБТ 
использует в качестве входных данных требования информационной 
безопасности и ожидаемые результаты заинтересованных сторон и получает 
информацию, 
свидетельствующую 
об 
удовлетворении 
заявленных 
требований и ожидаемых результатов в результате реализации необходимых 
действий и процессов. На рис. 1 также показаны взаимосвязи между 
процессами, представленными в разделах 4–8. 
Кроме того, модель PDCA совместима с «Руководящими указаниями 
Организации экономического сотрудничества и развития (ОЭСР) по 
безопасности информационных систем и сетей» 2002 г. [1]. Этот стандарт 
предоставляет практическую модель для применения этих принципов к 
управлению рисками, планированию и реализации безопасности, а также 
управлению безопасностью и переоценке. 
Пример 1. Может потребоваться, чтобы нарушение информационной 
безопасности не могло быть причиной серьезных финансовых потерь и/или 
каких-либо затруднений для организации. 
Пример 2. В случае серьезного инцидента, например, при взломе сайта 
организации, осуществляющей электронную коммерцию с помощью сайта, в 
организации должны быть специалисты, обладающие достаточными знаниями 
и опытом, чтобы минимизировать последствия взлома. 

Download 0.91 Mb.

Do'stlaringiz bilan baham: